Tech

A legújabb OpenSea Attack azt látja, hogy a hacker beszivárgott a diszkordon

05/06/2022
Bitcoin Ethereum hírek

Kulcs elvezetések

  • Az OpenSea péntek reggel megerősítette a Discord Server biztonsági rését.
  • Egy hacker arra utasította a felhasználókat, hogy hamis „YouTube Genesis Mint Passs”-t készítsenek egy adathalász linkről. 
  • A láncon belüli adatok azt mutatják, hogy a feltörésből származó veszteségek jelenleg csekélyek, mindössze hat felhasználó veszített el NFT-t.

Ossza meg ezt a cikket

Az OpenSea Discord szervert pénteken kora reggel feltörték. Egy kompromittált OpenSea Discord szerverbottól származó bejegyzések sorozata arra utasította a felhasználókat, hogy „YouTube Genesis Mint Pass”-t készítsenek egy adathalász linkről. 

Az OpenSea Discord szervert feltörték

Feltörték a legnagyobb NFT-piac Discord-ját.

A csipog a hivatalos OpenSea Support Twitter megerősítette, hogy a piactér Discord szerverén van egy sebezhetőség péntek reggel.

A hacker első bejegyzése, amely 4:04-kor (UTC) jelent meg a bejelentések csatornáján, azt állította, hogy az OpenSea „partnerségre lépett a YouTube-mal, hogy közösségét behozza az NFT-térbe”. A bejegyzés azt is elmondta, hogy a partnerség 100 "YouTube Genesis Mint Pass" kiadását is magában foglalja, amelyek lehetővé teszik a tulajdonosok számára, hogy ingyenesen készítsenek együttműködési projekteket. A bejegyzés egy hamis pénzverő weboldalra mutató hivatkozással zárult, amelynek célja, hogy rávegye a felhasználókat egy olyan tranzakció aláírására, amely lehetővé teszi a hacker számára, hogy NFT-ket vigyen át a pénztárcájából.

Kép

Úgy tűnik, hogy a hacker egy ideig fenn tudta tartani jelenlétét a szerveren, mielőtt az OpenSea alkalmazottai visszaszerezhették volna az irányítást. A hackernek sikerült elküldenie a kezdeti hamis bejelentés nyomon követését, újból közzétenni a hamis hivatkozást, és kijelentette, hogy a készlet 70%-át már verték, ezzel próbálva „félelmet kelteni a lemaradástól” a gyanútlan felhasználókban. 

On-chain adatok innen Etherscan azt mutatja, hogy a feltörésből származó veszteségek jelenleg csekélyek. A jelek szerint eddig összesen csak hat pénztárcát érintettek, a legértékesebb ellopott NFT egy ConiunPass volt. piaci értéke körülbelül 0.84 ETH vagy 2,300 dollár. 

A korai jelentések azt sugallják, hogy a hacker az OpenSea Discord szerver webhookjait használta ki, hogy hozzáférjen a szervervezérlőkhöz. A webhook egy kiszolgálóbővítmény, amely valós idejű adatokat biztosít más alkalmazásoknak. Míg a webhookok hasznos funkciót töltenek be, a hackerek egyre gyakrabban használják őket támadási vektorként, mivel lehetővé teszik üzenetek küldését a felhasználóknak a hivatalos szerverfiókokról. 

Nem az OpenSea Discord szerver az egyetlen, amely a közelmúltban webhooks támadás áldozatává vált. Április elején számos prominens NFT-gyűjtemény, köztük a Bored Ape Yacht Club, a Doodles és a KaijuKings Discord-jai kerültek forgalomba. veszélyeztetett hasonló kizsákmányolást használva, lehetővé téve a hacker számára, hogy adathalász hivatkozásokat tegyen közzé hivatalos szerverfiókok használatával. 

Ez a történet megszakad, és amint további információk állnak rendelkezésre, frissítjük. 

Külön köszönet a HttpPwnHubnak a hacker pénztárcájának azonosításáért. 

Közzététel: A cikk írásakor a szerző az ETH és számos más kriptovaluta tulajdonosa volt. 

Ossza meg ezt a cikket

A weboldalon található, illetve az e weboldalon keresztül elérhető információkat független forrásokból szerezzük be, amelyek véleményünk szerint pontosak és megbízhatóak, de a Decentral Media, Inc. nem vállal semmiféle garanciát a weboldalon található vagy az ezen weboldalon elérhető információk időszerűségére, teljességére vagy pontosságára vonatkozóan. . A Decentral Media, Inc. nem befektetési tanácsadó. Nem adunk személyre szabott befektetési vagy egyéb pénzügyi tanácsadást. A weboldalon szereplő információk előzetes értesítés nélkül megváltozhatnak. A weboldalon szereplő információk egy része vagy egésze elavulttá válhat, vagy hiányos lehet, vagy hiányos. Lehet, hogy nem vagyunk kötelesek frissíteni minden elavult, hiányos vagy pontatlan információt.

Soha nem szabad befektetési döntést hoznia egy ICO, IEO vagy más befektetés kapcsán a weboldalon található információk alapján, és soha nem szabad értelmeznie vagy egyéb módon támaszkodnia a webhely bármely információjára befektetési tanácsként. Nyomatékosan javasoljuk, hogy forduljon engedéllyel rendelkező befektetési tanácsadóhoz vagy más képzett pénzügyi szakemberhez, ha befektetési tanácsot kíván kérni ICO, IEO vagy más befektetéssel kapcsolatban. Semmilyen formában nem fogadunk el kompenzációt bármely ICO, IEO, kriptovaluta, valuta, tokenált eladások, értékpapírok vagy áruk elemzéséért vagy jelentéseiért.

Lát teljes feltételeket.

Forrás: https://cryptobriefing.com/latest-opensea-attack-sees-hacker-infiltrate-discord/?utm_source=feed&utm_medium=rss